OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven

Do Sep 24 10:52:48 CEST 2015

Hi,

Am 2015-09-24 09:33, schrieb Django [BOfH]:

> O.K., habe Dir grad eine "brave EXE" clearproc als eMail gesandt,
> (Message-ID: 2FA46DE09782)
> 

Ok, die ist durchgekommen. Lt. Debug Logging werden die einzelnen 
Attachments des
DSN durchsucht und der als "message/rfc822" erkannte Teil 4 wird dann 
auch nochmal
in seine Einzelteile aufgebroeselt und dem Virenscanner zu fressen 
gegeben:

"[...] presenting full original message to scanners as 
/var/amavis/tmp/amavis-201[...]"

Sprich, die A/V Software wuerde hier in jedem Fall fassen. Allerdings 
scheint AMaViSd
hier standardmaessig die Pruefung fuer BANNED Dateitypen nicht auf die 
Einzelteile des
"message/rfc822" anzuwenden, sondern lediglich die MIME-Typen des 
eigentlichen DSN
zu pruefen.

Der Grund dafuer ist die amavisd Standardconfig. Im @decoders Array hat 
man die
Moeglichkeit, fuer bestimmte Dateiendungen entsprechende Decoder 
festzulegen. Z. B.
fuer .gz wird gzip benutzt. Hier gibt es auch einen Eintrag fuer .asc 
der aber
per default auskommentiert ist:

[[qw(asc uue hqx ync)], \&do_ascii],  # not safe

Der vermutliche Grund dafuer ist wohl das "not safe". Die Funktion 
do_safe()
versucht dann verschiedene Decoding-Methoden anzuwenden (uudecode, 
BinHex, Base64, etc.)
Dies scheint aber wohl nicht wirklich verlaesslich zu sein. Funktioniert 
aber
ohne groessere Probleme im Fall des DSN.

Sep 24 10:41:35 mail1 amavis[53435]: (53435-01) LMTP:[10.0.0.3]:10024 
/var/amavis/tmp/amavis-20150924T104135-53435-EeSqrW4m: <> -> 
<winni at pebcak.de> SIZE=783070 Received: from mail1.neessen.net 
([10.0.0.1]) by amavis.mail1.neessen.net (amavis.mail1.neessen.net 
[10.0.0.3]) (amavisd-new, port 10024) with LMTP for <winni at pebcak.de>; 
Thu, 24 Sep 2015 10:41:35 +0200 (CEST)
Sep 24 10:41:35 mail1 amavis[53435]: (53435-01) Checking: 6ND8fQX9KMjW 
[89.1.11.8] <> -> <winni at pebcak.de>
Sep 24 10:41:35 mail1 amavis[53435]: (53435-01) (!)Decoding of p005 (Zip 
archive data, at least v2.0 to extract) failed, leaving it unpacked: 
error: inflate error -3
Sep 24 10:41:35 mail1 amavis[53435]: (53435-01) p.path BANNED:1 
winni at pebcak.de: "P=p004,L=1,M=multipart/report | 
P=p003,L=1/3,M=message/rfc822,T=asc | 
P=p005,L=1/3/1,T=zip,N=ClearProg_1.6.1_Beta10.zip | 
P=p006,L=1/3/1/1,T=empty,N=ClearProg.exe", 
matching_key="(?^ix:.\134.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta|\n 
        inf|ini|ins|isp|js|jse|lib|lnk|mda|mdb|mde|mdt|mdw|mdz|msc|msi|\n 

msp|mst|ocx|ops|pcd|pif|prg|reg|scr|sct|shb|shs|sys|vb|vbe|vbs|vxd|\n    
     wmf|wsc|wsf|wsh)$)"
Sep 24 10:41:36 mail1 amavis[53435]: (53435-01) local delivery: <> -> 
banned-quarantine, mbx=/var/virusmails/banned/6/6ND8fQX9KMjW
Sep 24 10:41:36 mail1 amavis[53435]: (53435-01) Blocked BANNED 
(.empty,ClearProg.exe) {NoBounceInbound,Quarantined}, [89.1.11.8]:58150 
[217.91.103.190] <> -> <winni at pebcak.de>, quarantine: 
banned/6/6ND8fQX9KMjW, Queue-ID: BD9D9DE09780, Message-ID: 
<Nk1qZ8XjlJCTRXCCBUrGJfF2M at winni@pebcak.de>, mail_id: 6ND8fQX9KMjW, 
Hits: -, size: 783034, 888 ms

Wenn man also do_ascii fuer .asc (oder auch andere Typen nutzt), kann 
man sich
gegen solche Attachments in DSN schuetzen.

ine andere Moeglichkeit waere dann noch das "Pen Pal" Feature zu nutzen. 
Das
funktioniert aber nur, wenn man AMaViSd mit einer SQL Datenbank 
verbindet. Durch
das "Pen Pal" feature, hat AMaViSd dann die Moeglichkeit mitzuschreiben, 
welche
Message IDs rausgehen und von welcher Absenderadresse sie kommen. Und 
hier kommt
dann das sog. "Bounce Killer" Feature ins Spiel. Bekommt AMaViSd einen 
Bounce
zu sehen, dessen Message ID nicht in der Datenbank ist, kann man davon 
ausgehen,
dass die initiale Mail nicht von dem eigentlichen Absender verschickt 
wurde.

Ergo wuerde diese DSN auch nicht durchgelassen werden, da der Bounce 
gefaked
ist, die Message ID dementsprechend auch und somit keine Referent in der
Datenbank gefunden werden kann.

Winni